El procedimiento de disociación del art. 3 LOPD

Autor: Eric Gracia. Abogado Derecho.com

El artículo 3 f) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante “LOPD???), define el procedimiento de disociación como:

“Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.???

Cuando se realiza una comunicación de datos de carácter personal que implica la identificación de personas físicas concretas, estamos ante una “revelación de datos realizada a persona distinta del interesado???, tal y como define el art. 3 i) de la LOPD.

En principio, y según el régimen de las cesiones de datos contenido en el art. 11 de la citada Ley, será necesario recabar el previo consentimiento del interesado para poder comunicar los datos en cuestión. Asimismo, aquél a quien se comuniquen los datos queda obligado a observar las disposiciones de la LOPD.

No obstante, si antes de realizar esta comunicación sometemos los datos a un procedimiento de disociación, no deberemos aplicar lo anteriormente explicado (art. 11.6 LOPD). De esto se desprende que al someter unos datos de carácter personal a un procedimiento de disociación, esto nos permite la comunicación de los mismos sin la necesidad de recabar el previo consentimiento del afectado.

Otro aspecto importante es el de determinar como se articula efectivamente un procedimiento de disociación. Debe decirse que a día de hoy no existe una regulación clara sobre este tema.

Del Informe 182/2004 Carácter de dato de salud de los datos sobre drogodependencia emitido por la Agencia Española de Protección de Datos se desprende que, realizar una primera comunicación de datos previamente disociados (facilitando sólo las iniciales de los afectados), resulta incompatible si antes o después se ha realizado otra comunicación en la que se han facilitado los nombres y apellidos de esos mismos afectados, de modo que quien recibe ambas comunicaciones puede, sin mucho esfuerzo, averiguar la identidad de los afectados en la comunicación disociada.

En relación con este ejemplo, en el Informe jurídico Difusión de datos de sentencias condenatorias por negligencia médica – Año 2000 se especifica que “para que un procedimiento de disociación pueda ser considerado suficiente a los efectos de la Ley Orgánica 15/1999, será necesario que de la aplicación de dicho procedimiento resulte imposible identificar un determinado dato con su sujeto determinado.???

En este sentido, se estudia un proceso de disociación que consiste en publicar listas de sentencias por negligencia médica con referencia exclusiva al nombre y las iniciales de los apellidos de los afectados. En este caso, se considera que los facultativos pueden identificarse por su nombre y apellidos, así como por el puesto que desempeñan en un determinado centro médico.

La conclusión es que “la mera sustitución de los apellidos por sus iniciales puede no resultar suficiente para que la disociación pueda considerarse conforme a lo prevenido en la LOPD???, ya que si suprimimos el nombre del afectado por sus iniciales pero aportamos una serie de datos, como su cargo o puesto en un determinado centro de trabajo, no será efectiva la disociación. En tal caso, será necesario recabar el consentimiento previo del afectado para poder comunicar esos datos.

En resumidas cuentas, para determinar si una persona es identificable, “hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona.??? En consecuencia, cuando no es posible relacionar unos datos con una persona física, éstos dejan de tener el carácter de dato personal y quedan fuera del ámbito de aplicación de la LOPD.